JPWO2019193786A1 - ログ出力方法、ログ出力装置及びプログラム - Google Patents

ログ出力方法、ログ出力装置及びプログラム Download PDF

Info

Publication number
JPWO2019193786A1
JPWO2019193786A1 JP2019556389A JP2019556389A JPWO2019193786A1 JP WO2019193786 A1 JPWO2019193786 A1 JP WO2019193786A1 JP 2019556389 A JP2019556389 A JP 2019556389A JP 2019556389 A JP2019556389 A JP 2019556389A JP WO2019193786 A1 JPWO2019193786 A1 JP WO2019193786A1
Authority
JP
Japan
Prior art keywords
log
message
unit
determination
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019556389A
Other languages
English (en)
Other versions
JP7182559B2 (ja
Inventor
前田 学
学 前田
安齋 潤
潤 安齋
剛 岸川
剛 岸川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2019193786A1 publication Critical patent/JPWO2019193786A1/ja
Application granted granted Critical
Publication of JP7182559B2 publication Critical patent/JP7182559B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Power Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

車載ネットワークにおける通信のログを出力するログ出力方法であって、車載ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップ(S1002)と、複数の判定処理の結果に従って、ログを生成するログ生成ステップ(S1004)と、生成したログを送信するログ送信ステップ(S1005)とを含み、ログ生成ステップ(S1004)では、複数の判定処理の結果の組み合わせに従って、ログに含まれる情報に重複が発生しないように、ログに含まれる情報を決定する。

Description

本開示は、車載ネットワークにおける通信のログを出力するログ出力方法等に関する。
近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit、以下、ECUとも表記する)と呼ばれる装置が多数配置されている。これらのECUを用いて構成された通信ネットワークは車載ネットワークと呼ばれる。車載ネットワークで用いられる通信には、多数の通信規格が存在する。主流である車載ネットワークの通信規格の一つに、Controller Area Network(CAN)がある。
CANの規格を採用したネットワーク(CANネットワーク)では、通信路(バス)は2本のケーブルで構成され、バスに接続されているECUはノードとも呼ばれる。バスに接続されている各ノードは、メッセージと呼ばれる単位又はメッセージを分割したフレームと呼ばれる単位でデータを送受信する。またCANでは、データの送信先又は送信元を示す識別子は用いられない。
フレームを送信するノード(送信ノード)は、メッセージ毎にメッセージの種類を示すメッセージIDと呼ばれるIDを付けてメッセージを送信、つまりバスに信号を送出する。メッセージを受信するノード(受信ノード)は、予め決められたメッセージIDを含むメッセージのみを受信、つまりバスから信号を読み取る。同一IDのメッセージは、一定の周期で送信される。
上述の通り、自動車の中のシステムに多数配置されているECUは、それぞれがCANネットワークに接続され、メッセージを互いに送受信しながら動作している。
ここで、CANネットワークの外部と通信機能を持つECUが、外部から不正にアクセスされること等により、何者かに不正に制御され、CANネットワークに対して異常なメッセージを送信することが起こり得る。このような何者かに不正に制御されたECU(不正ECU)は、例えば他のECUになりすまして異常なメッセージを送信し、車両を不正に制御することが可能となる。このような、いわゆるなりすまし攻撃を検知するための方法が、例えば、特許文献1に開示されている。
国際公開第2014/115455号
しかしながら、特許文献1に開示されている方法では、ECU内部において異常なメッセージを検知することしかできず、サーバなどの外部の装置を用いた検知は難しい。また、メッセージが送信された時ではなく、事後的に、異常なメッセージについて精査することができないという課題がある。
本開示は、上記課題を解決するもので、バスに送出された個々のメッセージが異常なメッセージであるか否かを判定するために必要なログ情報を生成し出力するログ出力方法、ログ出力装置等を提供することを目的とする。
上記課題を解決するために、本開示の一態様に係るログ出力方法は、車載ネットワークシステムにおける通信のログを出力するログ出力方法であって、前記ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップと、前記複数の判定処理の結果の組み合わせに従って、前記ログに含まれる情報が重複しないように前記ログを生成するログ生成ステップと、生成した前記ログを送信するログ送信ステップとを含む。
なお、これらの包括的または具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラム又はコンピュータ読み取り可能なCD−ROMなどの非一時的な記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
本開示の一態様に係るログ出力方法等によれば、ネットワークに送出されたメッセージを異常であるか否かを判定した結果に応じて、ログを生成するために用いる情報を決定することにより、必要最小限のログを生成し、出力することで、コストを抑えることができる。
図1は、実施の形態1における車載ネットワークシステムの全体構成を示すブロック図である。 図2は、実施の形態1におけるCANプロトコルのメッセージ(データフレーム)のフォーマットを示す図である。 図3は、実施の形態1における車載ネットワークシステムに含まれるゲートウェイの一例を示すブロック図である。 図4は、実施の形態1における受信IDリストの一例を示す図である。 図5は、実施の形態1における転送ルールの一例を示す図である。 図6は、実施の形態1における異常検知処理機能群の一例を示すブロック図である。 図7は、実施の形態1における振る舞い検知部の一例を示すブロック図である。 図8は、実施の形態1におけるログ出力処理機能群の一例を示すブロック図である。 図9は、実施の形態1におけるログ出力制御部におけるログ出力の判定例を示す図である。 図10は、実施の形態1におけるログに含めるNGと判定した値の一例を示す図である。 図11は、実施の形態1における車載ネットワークシステムに含まれるECUの一例を示すブロック図である。 図12は、実施の形態1における車載ネットワークシステムに含まれるサーバの一例を示すブロック図である。 図13は、実施の形態1における異常検知処理の一例を示すフローチャートである。 図14は、実施の形態1における転送処理の一例を示すフローチャートである。 図15は、変形例におけるゲートウェイの一例を示すブロック図である。 図16は、変形例におけるログ出力処理機能群の一例を示すブロック図である。 図17は、変形例におけるゲートウェイの一例を示すブロック図である。 図18は、変形例におけるECUの一例を示すブロック図である。 図19は、変形例におけるECUの一例を示すブロック図である。 図20は、変形例におけるECUの一例を示すブロック図である。 図21は、変形例におけるゲートウェイの別の一例を示すブロック図である。 図22は、変形例におけるECUの一例を示すブロック図である。
(本開示の基礎になった知見)
CANネットワーク上に異常なメッセージが送信されたことを判定する機能において、その判定結果、および、判定結果に関連する情報をログとして生成し、出力する場合、異常という判定に至った状況を後で詳細に確認するためには、多くのデータを必要とする。しかし、ログの出力先で必要となる記憶容量又は、出力先にデータを送信する際の通信量が多いと、多大なコストがかかってしまう。
そこで、本開示の一態様に係るログ出力方法は、車載ネットワークシステムにおける通信のログを出力するログ出力方法であって、前記ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップと、前記複数の判定処理の結果に従って、ログを生成するログ生成ステップと、生成した前記ログを送信するログ送信ステップとを含み、前記ログ生成ステップでは、前記複数の判定処理の結果の組み合わせに従って、前記ログに含まれる情報に重複が発生しないように、前記ログに含まれる情報を決定する。
これにより、ネットワークに送出されたメッセージを異常であると判定した結果に応じて、ログを生成するために用いる情報を決定することにより、必要最小限の情報を含むログを生成し、出力することで、コストを抑えることができる。
また、本開示の一態様に係るログ出力方法において、前記複数の判定処理は、前記異なる方法の一つとして、前記メッセージのMAC(Message Authentication Code)を検証することにより前記異常性を判定するMAC検証処理を含む。
これにより、受信したメッセージの完全性を確認することができ、ネットワークに送出されたメッセージの異常性を判定することができる。
また、本開示の一態様に係るログ出力方法において、前記複数の判定処理は、前記メッセージから車両の振る舞いを検知することにより前記異常性を判定する振る舞い検知処理を含む。
これにより、車両に含まれるECUが、外部から攻撃されること等により、何者かに乗っ取られ、車両が異常な振る舞いを行っていることを検知でき、ネットワークに送出されたメッセージの異常性を判定することができる。
また、本開示の一態様に係るログ出力方法において、前記複数の判定処理は、前記メッセージに異常を示す兆候が現れているか否かを監視することにより前記異常性を判定する兆候監視処理を含む。
これにより、メッセージの送信周期等の異常を検知することができ、ネットワークに送出されたメッセージの異常性を判定することができる。
また、本開示の一態様に係るログ出力方法において、前記複数の判定処理は、前記メッセージから車両の振る舞いを検知することにより前記異常性を判定する振る舞い検知処理と、前記メッセージに異常を示す兆候が現れているか否かを監視することにより前記異常性を判定する兆候監視処理とを含み、前記ログ生成ステップでは、前記振る舞い検知処理と前記兆候監視処理の両方において異常性があると判定されたとき、(A)前記振る舞い検知処理と前記兆候監視処理において、メッセージに異常性があると判定された理由が異なる場合、前記振る舞い検知処理で異常性があると判定された値と、前記兆候監視処理で異常性があると判定された値とを、ログとして出力し、(B)前記振る舞い検知処理と前記兆候監視処理において、異常と判定された理由が同じ場合、前記振る舞い検知処理で異常性があると判定された値と、前記兆候監視処理で異常性があると判定された値とのいずれか一方を、ログとして出力する。
これにより、ネットワークに創出されたメッセージに異常性があると判断された場合に、出力されるログのデータ量を低減させることができる。
また、本開示の一態様に係るログ出力装置は、車載ネットワークシステムにおける通信のログを出力するログ出力装置であって、1個以上のプロセッサと、記憶部とを含み、前記記憶部を用いて、前記1個以上のプロセッサは、前記ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップと、前記複数の判定処理の結果に従って、ログを生成するログ生成ステップと、生成した前記ログを送信するログ送信ステップとを含み、前記ログ生成ステップでは、前記複数の判定処理の結果の組み合わせに従って、前記ログに含まれる情報に重複が発生しないように、前記ログに含まれる情報を決定する。
これにより、ネットワークに送出されたメッセージを異常であると判定した結果に応じてログを生成するために用いる情報を決定することにより、必要最小限のログを生成し、出力することで、コストを抑えることができる。
また、本開示の一態様に係るプログラムは、上記のログ出力装置において、前記1個以上のプロセッサに上記のログ出力方法を実施させるためのプログラムである。
これにより、ネットワークに送出されたメッセージを異常と判定した結果に応じてログを生成するために用いる情報を決定することにより、必要最小限のログを生成し、出力することで、コストを抑えることができる。
以下、実施の形態について図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは一例であり、本開示を限定する趣旨ではない。以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素は、任意で含まれる構成要素として説明されるものである。
(実施の形態1)
[1.概要]
本実施の形態では、車載ネットワークシステムにおいて、送信されているメッセージが異常なメッセージであるか否かの判定がなされ、その判定結果に応じてログを出力する場合について図面を参照しながら説明する。
[1.1 車載ネットワークシステムの全体構成]
図1は、本実施の形態における車載ネットワークシステム10の全体構成を示すブロック図である。
図1において、車載ネットワークシステム10は、CANネットワークで構成され、ECU100a、ECU100b、ECU100c、及びECU100dと、バス200a及びバス200bと、ゲートウェイ300と、外部ネットワーク400と、サーバ500とを含む。
以下では、ECU100a、ECU100b、ECU100c、ECU100dを、集合的にECU100とする場合がある。又、ECU100a、ECU100b、ECU100c、ECU100dのいずれかを指して、ECU100として説明する場合がある。
また、以下では、バス200a、バス200bを、集合的にバス200とする場合がある。又、バス200a及びバス200bのいずれか一方を指して、バス200とする場合がある。
ECU100aはエンジン101に接続され、ECU100bはブレーキ102に接続される。また、ECU100cはドア開閉センサ103に接続され、ECU100dはウィンドウ開閉センサ104に接続されている。
ECU100は、ECU100と接続されている機器の状態を取得し、機器の状態を表す取得したメッセージを周期的にバス200に送出する。例えばECU100aは、エンジン101の回転数を取得し、この回転数を表すデータ値を含むメッセージに所定のIDを付けてバス200に送出する。
また、各ECU100は、他のECU100が送信したメッセージをバス200から読み出し、メッセージに付されたIDに応じて選択的に受信する。この選択的な受信については後述する。
ゲートウェイ300は、ECU100a及びECU100bが接続されているバス200aと、ECU100c及びECU100dが接続されているバス200bとを接続している。ゲートウェイ300は一方のバス200から受信したメッセージを、もう一方のバス200に転送する機能を持つ。ゲートウェイ300もまた、CANネットワーク上ではひとつのノードである。
外部ネットワーク400は、ゲートウェイ300とサーバ500が通信するための通信ネットワークである。外部ネットワーク400の通信方法は、有線であっても良いし、無線であっても良い。また、無線通信方式はWi−Fi(登録商標)又は、3G/LTEであっても良い。
サーバ500は、外部ネットワーク400を介して、ゲートウェイ300と通信を行う。
なお、車載ネットワークシステム10は、メッセージが異常なメッセージであるか否かの判定をし、ログを出力するログ出力システム等が適用可能な対象を説明するための例である。また、ログ出力システムの適用対象は車載ネットワークシステム10に限定されない。
[1.2 メッセージのデータフォーマット]
図2は、CANプロトコルのメッセージ(データフレーム)のフォーマットを示す図である。ここではCANプロトコルにおける標準IDフォーマットにおけるメッセージを示している。
メッセージは、SOF(Start Of Frame)と、IDフィールド、RTR(Remote Transimission Request)、IDE(Identifier Extension)、予約bit(rとも呼ぶ)、DLC(Data Length Code)、データフィールド、CRC(Cycric Redundancy Check)シーケンス、CRCデリミタ(図中、左のDEL)と、ACK(Acknowledgement)スロットと、ACKデリミタ(図中、右のDEL)と、EOF(End Of Frame)から構成される。
SOFは、1bitのドミナントである。ドミナントは、優性の意である。ドミナントは、データの伝達にデジタル方式が用いられるCANネットワークにおいて、“0”の値を送信するようにバスを構成する2本のケーブルに電圧がかけられた状態、または送信されるこの“0”の値のことである。これに対し、“バスを構成する2本のケーブルに1”の値を送信するように電圧がかけられた状態、または送信されるこの“1”の値のことはレセシブと呼ばれる。レセシブは、劣勢の意である。2つのノードからバスに同時に“0”の値と“1”の値とが送信された場合には、“0”の値が優先される。アイドル状態の時のバスは、レセシブの状態である。各ECU100は、バス200の状態をレセシブからドミナントへ変化させることでメッセージの送信を開始し、他のECU100はこの変化を読み取って同期する。図2において、メッセージを構成するドミナント又はレセシブを示す線が実線である部分は、ドミナント又はレセシブの各値を取り得ることを示す。SOFはドミナントの状態で固定されているため、ドミナントの線は実線であり、レセシブの線は破線である。
IDとは、メッセージが含むデータの種類を示す11bitの値である。またCANでは、複数のノードが同時に送信を開始したメッセージ間での通信調停において、IDの値がより小さいメッセージがより高い優先度となるよう設計されている。
RTRとは、フレームがメッセージ(データフレーム)であることを示す1bitのドミナントである。
IDEとrは、それぞれ1bitのドミナントである。
DLCは、続くデータフィールドの長さを示す4bitの値である。
データフィールドは、送信されるデータの内容を示す値であり、最大64bit長で、8bit単位で長さを調整できる。送信されるデータのデータフィールドへの割り当てに関する仕様は、車種及び製造者等に依存する。
CRCシーケンスは、SOF、IDフィールド、コントロールフィールド、データフィールドの送信値より算出される15bitの値である。
CRCデリミタは1bitのレセシブで固定されており、CRCシーケンスの終了を表す区切り記号である。受信ノードは、受信したメッセージのSOF、IDフィールド、コントロールフィールド、及びデータフィールドの値から算出した結果をCRCシーケンスの値と比較することで異常の有無を判断する。
ACKスロットは1bit長で、送信ノードはACKスロットにおいてレセシブを送信する。受信ノードはCRCシーケンスまで正常に受信ができていれば確認応答としてドミナントを送信する。ドミナントが優先されるため、1メッセージにおける通信がCRCシーケンスまで正常に行われていれば、ACKスロットの送信中のバス200はドミナントの状態である。
ACKデリミタは1bitのレセシブに固定されており、ACKスロットの終了を表す区切り記号である。
EOFは7bitのレセシブに固定されており、メッセージの終了を示す。
[1.3 ゲートウェイの構成]
図3は、本実施の形態における車載ネットワークシステムに含まれるゲートウェイの一例を示すブロック図である。図3において、ゲートウェイ300は、フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375と、フレーム生成部380と、外部通信部390とを備える。
なお、これらの構成は機能を示す構成であり、ゲートウェイ300は、例えばプロセッサで実現される処理部、半導体メモリ等で実現される記憶部、入出力ポートで実現される入出力部等を備える情報処理装置として提供される。
上記の機能を示す構成は、記憶部に保持されるプログラムを処理部により読み出し、実行し、記憶部へ所定のデータを保持し、若しくは入出力部を介してデータの送受信を実行することで実現されてもよい。又は、上記の機能を示す構成は、これらの組み合わせで実現されてもよい。
なお、本開示の一態様に係るログ出力方法は、ゲートウェイによって実現されるものに限らない。フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375と、フレーム生成部380と、外部通信部390とは、単数又は複数のECU100によって実現されてもよい。
フレーム送受信部310は、バス200a、200bのそれぞれに対して、CANのプロトコルに従ったメッセージを送受信する。
より具体的には、フレーム送受信部310は、バス200に送出されたメッセージを1bitずつ読み出し、読み出したメッセージをフレーム解釈部320に転送する。
また、フレーム送受信部310は、フレーム生成部380より送信されたバス情報に応じて、メッセージをバス200a及び200bに1bitずつ送出する。
フレーム送受信部310は、バス200aから受信したメッセージをバス200bに送信し、バス200bから受信したメッセージをバス200aに送信することでバス200間でのメッセージの転送を実行する。
フレーム解釈部320は、フレーム送受信部310よりメッセージの値を受け取り、CANプロトコルにおける各フィールドにマッピングして、受信したメッセージの解釈を行う。フレーム解釈部320は、IDフィールドの値と解釈した一連の値を、受信ID判定部330へ転送する。
フレーム解釈部320はさらに、受信ID判定部330から通知される判定結果に応じて、メッセージのIDフィールドの値及びIDフィールド以降に現れるデータフィールドをフレーム処理部350へ転送するか、メッセージの受信を中止するかを決定する。
また、フレーム解釈部320は、受信したメッセージがCANプロトコルに則っていないメッセージであると判断した場合は、エラーフレームを送信するようにフレーム生成部380へ要求する。
エラーフレームは、CANネットワーク上でエラーが発生した場合に、ノードから送信される、上述のメッセージとは異なる、CANプロトコルで規定される所定のフォーマットのフレームである。エラーフレームがバスに送出されると、そのネットワークでのメッセージの送信は中断される。
また、フレーム解釈部320は、他のノードが送信したエラーフレームを受信したと解釈した場合、読み取り中のメッセージを破棄する。
受信ID判定部330は、フレーム解釈部320からIDフィールドの値を受け取り、受信IDリスト保持部340が保持しているメッセージIDのリストに従い、読み出したメッセージを受信するか否かの判定を行う。受信ID判定部330は、この判定の結果をフレーム解釈部320へ通知する。
受信IDリスト保持部340は、ゲートウェイ300が受信するメッセージIDのリスト(以下、受信IDリストともいう)を保持する。図4は、本実施の形態における受信IDリストの一例を示す図である。図4における受信IDリストの詳細は、後述する。
フレーム処理部350は、転送ルール保持部360が保持するデータ転送に関するルールに従って、受信したメッセージのIDに応じて転送先となるバス200を決定し、転送先となるバス200と、フレーム解釈部320より通知されたメッセージIDと、転送するデータとをフレーム生成部380へ通知する。
またフレーム処理部350は、フレーム解釈部320より受け取ったメッセージを異常検知処理機能群370へ送り、異常検知処理機能群370に対して、そのメッセージが、異常なメッセージであるか否かの判定を行うように要求する。異常検知処理機能群370において異常なメッセージであると判定されたメッセージを、フレーム処理部350は転送しない。
転送ルール保持部360は、各バス200のデータ転送に関するルール(以下、転送ルールともいう)を保持する。図5は、本実施の形態における転送ルールの一例を示す図である。図5における転送ルールの詳細は、後述する。
異常検知処理機能群370は、受信中のメッセージが異常なメッセージであるか否かの判定する機能群である。異常検知処理機能群370に含まれる機能構成の詳細は後述する。異常検知処理機能群370は、判定結果をフレーム処理部350とログ出力処理機能群375へ通知する。
ログ出力処理機能群375は、異常検知処理機能群370で受信中のメッセージが異常なメッセージであると判定した場合に、その判定結果に応じてログを生成し、外部通信部390を介してログをサーバ500へ出力する。ログ出力処理機能群375に含まれる機能構成の詳細は後述する。
フレーム生成部380は、フレーム解釈部320からのエラーフレーム送信の要求に従い、エラーフレームを生成し、フレーム送受信部310にエラーフレームを送出させる。
またフレーム生成部380は、フレーム処理部350より受け取ったメッセージID及びデータを使ってメッセージフレームを生成し、バス情報とともに、フレーム送受信部310にメッセージフレームを送出する。
外部通信部390は、外部ネットワーク400を通して、サーバ500との通信を行う。
[1.4 受信IDリスト]
図4は、本実施の形態における受信IDリストの一例を示す図である。受信IDリストは、ゲートウェイ300が受信して処理するメッセージのメッセージIDのリストであり、受信IDリスト保持部340で保持されている。
図4において、受信IDリストは、各行にメッセージのIDが格納されている。図4の受信IDリストは、メッセージIDが、「1」、「2」、「3」及び「4」であり、ゲートウェイ300は、これらのメッセージIDのメッセージを受信する。ゲートウェイ300は、受信IDリストに含まれないメッセージIDのメッセージの受信を中止する。
なお、IDの値及び受信IDリストに含まれるIDの個数は説明のための一例であり、ゲートウェイ300で用いられる受信IDリストの構成をこれに限定するものではない。
[1.5 転送ルール]
図5は、本実施の形態における転送ルールの一例を示す図である。転送ルールは、転送ルール保持部360で保持されている。図5において、転送ルールは、各行にメッセージの転送元のバス200と転送先のバス200、及び転送対象のメッセージIDの組み合わせが格納されている。
具体的には、転送ルールの1行目は、転送元「バス200a」、転送先「バス200b」、ID「*」であり、ゲートウェイ300は、バス200aから受信するメッセージを、IDが何であってもバス200bに転送する、というルールである。転送ルールの2行目は、転送元「バス200b」、転送先「バス200a」、ID「3」であり、ゲートウェイ300は、バス200bから受信するメッセージは、IDが「3」のメッセージであればバス200aに転送する、というルールである。
[1.6 異常検知処理機能群の構成]
図6は、本実施の形態におけるゲートウェイ300が備える異常検知処理機能群370の一例を示すブロック図である。図6において、異常検知処理機能群370は、MAC(Message Authentication Code)検証部371と、振る舞い検知部372と、兆候監視部373とを含む。
なお、これらの構成は機能を示す構成であり、ゲートウェイ300において記憶部に記録されるプログラムを処理部により読み出し、実行し、記憶部へ所定のデータを記録することで実現される。若しくは記憶部へ所定のデータを記録することの代わりに、入出力部を介してデータの送受信を実行することで、これらの構成が実現されてもよい。又、これらの構成は、上記の組み合わせで実現されてもよい。
MAC検証部371は、フレーム処理部350から受信したメッセージのMACを検証し、OK/NGを出力する。受信したメッセージは、メッセージ本体とMACから構成される。MAC検証部371は、メッセージ本体と事前に設定された鍵からMACを計算し、計算したMACとフレーム処理部350から受信したメッセージに含まれるMACとを比較し、一致する場合にOKを出力し、一致しない場合にNGを出力する。
ここで、MACのアルゴリズムは、一般に知られているアルゴリズムであればいずれでもよく、HMAC(Hash−based Message Authentication Code)、OMAC(One−key Message Authentication Code)、CMAC(Cipher−based Message Authentication Code)、CBC−MAC(Cipher Block Chaining Message Authentication Code)などを用いることが出来る。
また、フレーム処理部350から受信したメッセージに含まれるMACは、MACのアルゴリズムにより計算された値そのものでもよいし、計算された値の一部のみを用いてもよいし、計算された値を更に変換した値を用いてもよい。この時、MAC検証部371には、事前に、計算された値のどの部分を利用するかに関する情報及び、値をどのように変換するかに関する情報が与えられており、MAC検証部371はそれらの情報にもとづいて、受信したメッセージに含まれるMACの検証を行う。
なお、フレーム処理部350から受信したメッセージには、MACが含まれないことがある。この場合、MAC検証部371は、検証結果としてOKを出力してもよいし、MACが無い旨を示す結果を出力してもよい。
振る舞い検知部372は、フレーム処理部350から受信したメッセージが異常なメッセージであるか否かを判定する。
振る舞い検知部372は、複数の検知機能を持ち、事前に設定されたルールをそれぞれの検知機能が参照し、フレーム処理部350から受信したメッセージが異常なメッセージであるか否かを判定する。
図7は、本実施の形態における振る舞い検知部の一例を示すブロック図である。図7において、振る舞い検知部372は、6種類の判定機能を含んでいる。具体的には、判定機能として、メッセージのIDフィールドをチェックする機能であるID判定機能、メッセージのデータ長をチェックする機能であるデータ長判定機能、メッセージが送信される周期(時間間隔)をチェックする機能である送信周期判定機能、メッセージが送信される頻度をチェックする機能である送信頻度判定機能及びメッセージのデータフィールドの値(データ値)をチェックする機能であるデータ値判定機能を含む。さらに、これらの判定機能の判定結果、送信周期、頻度、データ値、又はデータ値の変化量などに基づいて車両の状態を認識し、車両状態をチェックする機能である車両状態判定機能を含む。また、さらに、振る舞い検知部372は、フレーム処理部350から受信したメッセージが異常なメッセージであるか否かを、これらの判定機能による判定結果から総合的に判定する総合判定機能を含む。総合判定機能の結果が、振る舞い検知部372による検知処理の結果となる。
図6に戻って、異常検知処理機能群370の説明を続ける。
図6において、兆候監視部373は、フレーム処理部350から受信したメッセージが、異常の兆候を示しているかどうかを判定する。具体的には、判定機能の内容は、振る舞い検知部372と同様である。兆候監視部373には、振る舞い検知部372に設定されているルールとは異なるルールを設定する。
例えば、兆候監視部373は、メッセージが送信される周期(時間間隔)が、ルールで設定された値より短い場合に、異常が発生している兆候があると判断し、NGの判定を出力してもよい。このとき、振る舞い検知部372の送信周期判定機能が保持しているルールは、兆候監視部373におけるルールとは異なるため、兆候監視部373は、受信したメッセージを明確に異常なメッセージであるとは判断できないことから、OKの判定を出力してもよい。
また、振る舞い検知部372は、周期以外の判定結果からNGの判定を出力する場合もある。また、兆候監視部373は、送信頻度がルールで設定された値より大きくなった場合に、異常が発生している兆候があると判断し、NGの判定を出力してもよい。
異常検知処理機能群370は、MAC検証部371の判定結果と、振る舞い検知部372の判定結果と、兆候監視部373の判定結果とのうち、MAC検証部371の判定結果又は振る舞い検知部372の判定結果のどちらかがNGであった場合に、フレーム処理部350へNGの結果を出力する。
異常検知処理機能群370は、MAC検証部371の判定結果と、振る舞い検知部372の判定結果と、兆候監視部373の判定結果のそれぞれと、振る舞い検知部372の内部のそれぞれの判定機能の判定結果と、兆候監視部373の内部のそれぞれの判定機能の判定結果とを、ログ出力処理機能群375へ通知する。
なお、兆候監視部373の判定機能は、振る舞い検知部372と同一であるとしたが、これに限定するものではない。例えば、兆候監視部373の判定機能は、振る舞い検知部372の判定機能のうちの一部の判定機能だけであってもよい。また、兆候監視部373の判定機能に、更に他の判定機能が追加されてもよい。他の判定機能は、車両に取り付けられた各種センサの値又は、車両の外部の機器から得られたデータなどを用いた判定を行うものでもよい。
なお、兆候監視部373は、振る舞い検知部372とは異なるルールを設定するとしたが、これに限定するものではない。例えば、兆候監視部373の判定機能の一部のルールが、振る舞い検知部372の判定機能と同じルールになっていてもよい。判定対象となるメッセージのデータの範囲が設定されているルールにおいて、1つのルールに、振る舞い検知部372がNGと判定する範囲と、それを含むより広い範囲である兆候監視部373がNGと判定する範囲の両方が含まれていてもよい。
また、ここでは、異常だけでなく異常の兆候等も含めて、包括的に異常性と呼ぶ場合がある。異常検知処理機能群では、メッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理が行われる。また、これらの判定処理は、基本的に、互いに独立して、並列に行われる。
[1.7 ログ出力処理機能群の構成]
図8は、本実施の形態におけるログ出力処理機能群の一例を示すブロック図である。図8において、ゲートウェイ300が備えるログ出力処理機能群375は、ログ出力制御部376と、ログ関連情報保持部377とを含む。
なお、これらの構成は機能を示す構成であり、ゲートウェイ300において記憶部に保持されるプログラムを処理部により読み出し、実行し、記憶部へ所定のデータを記録することで実現される。若しくは記憶部へ所定のデータを記録することの代わりに、入出力部を介してデータの送受信を実行することで、これらの構成が実現されてもよい。又、これらの構成は、上記の組み合わせで実現されてもよい。
ログ出力制御部376は、異常検知処理機能群370から検知結果と受信したメッセージに関連した情報、例えば、受信したメッセージ又は受信時刻等、の通知を受け、ログ出力を行うかどうかの判定を行う。
ログ出力制御部376がログ出力を行うと判定した場合には、検知結果に応じた情報を含むログを生成する。
ログ出力制御部376は、生成したログを外部通信部390へ通知し、ログをサーバへ送信するよう要請する。この時、車両を識別するために車両ごとに個別に割り当てられた車両識別子も同時に送信する。
ログ出力制御部376による判定例を、図9を用いて説明する。図9は、本実施の形態におけるログ出力制御部におけるログ出力の判定例を示す図である。図9においては、MAC検証部371の判定結果を「MAC検証」の列に示し、振る舞い検知部372の判定結果を「振る舞い検知」の列に示し、兆候監視部373の判定結果を「兆候監視」の列に示している。
ログ出力制御部376は、MAC検証部371、振る舞い検知部372、兆候監視部373のそれぞれの判定結果から、ログを出力するか否か及び、ログを出力する場合にログにどのような内容を含めて生成するか等決定する。
例えば、図9の1行目の、MAC検証部371の判定結果がOKであり、振る舞い検知部372の判定結果がOKであり、兆候監視部373の判定結果がOKの場合、ログ出力制御部376は、ログを出力しないと判定し、それ以外の場合には、ログ出力制御部376は、ログを出力すると判定する。
更に、ログ出力制御部376は、ログを出力すると判定した場合に、MAC検証部371の判定結果と、振る舞い検知部372の判定結果と、兆候監視部373の判定結果に応じて、ログに出力する情報を変更する。
例えば、図9の2行目の、MAC検証部371の判定結果がOKであり、振る舞い検知部372の判定結果がOKであり、兆候監視部373の判定結果がNGの場合、ログに出力する情報として「兆候ログ」を生成する。「兆候ログ」は、兆候監視部373がNGと判定したことを示す識別子であるログ種別識別子と、兆候監視部373がNGと判定した理由を示す識別子である兆候ログ識別子と、兆候監視部373がNGと判定した値と、さらに、必要に応じて、受信したメッセージのIDとを含む。
また、図9の3行目の、MAC検証部371の判定結果がOKであり、振る舞い検知部372の判定結果がNGであり、兆候監視部373の判定結果がOKの場合、ログに出力する情報として「振る舞いログ」を生成する。「振る舞いログ」は、振る舞い検知部372がNGと判定したことを示す識別子であるログ種別識別子と、振る舞い検知部372がNGと判定した理由を示す識別子である振る舞いログ識別子と、振る舞い検知部372がNGと判定した値と、振る舞い検知部372がNGと判定した値の過去に受信したメッセージの該当する値と、さらに、必要に応じて、受信したメッセージのIDとを含む。
振る舞い検知部372がNGと判定した値の過去に受信したメッセージの該当する値としては、同じIDを持つメッセージの一つ前に受信したメッセージの該当する値でもよいし、あらかじめ決められた時間又はあらかじめ決められたメッセージ数だけ前のメッセージから直前に受信したメッセージまでの複数の値でもよい。ログ出力制御部376は、ログ関連情報保持部377から過去に受信したメッセージに関連する情報を取得し、振る舞いログを生成する。
また、図9の4行目の、MAC検証部371の判定結果がOKであり、振る舞い検知部372の判定結果がNGであり、兆候監視部373の判定結果がNGの場合、振る舞い検知部372のNGと判定した理由と、兆候監視部373のNGと判定した理由が同じであるか、異なるかによって、生成するログが異なるものになる。
例えば、振る舞い検知部372がNGと判定した理由と、兆候監視部373がNGと判定した理由が同じ場合は、ログ出力制御部376は、振る舞いログと、兆候監視部373がNGと判定したことを示す識別子であるログ種別識別子と、兆候ログ識別子とを含むログ情報を生成する。
また、振る舞い検知部372が受信したメッセージをNGと判定した理由と、兆候監視部373が受信したメッセージをNGと判定した理由が異なる場合は、振る舞いログと、兆候ログとを含むログ情報を生成する。
すなわち、特定理由が同じ場合、振る舞い検知部372がNGと判定した値と、兆候監視部373がNGと判定した値とのうち、一方のみがログとして出力される。上記では、振る舞い検知部372がNGと判定した値のみが出力されているが、兆候監視部373がNGと判定した値のみが出力されてもよい。受信したメッセージがNGと判定された判定理由が異なる場合、これらの両方の値が出力される。
また、図9の5行目の、MAC検証部371の判定結果がNGであり、振る舞い検知部372の判定結果がOKであり、兆候監視部373の判定結果がOKの場合、「全フィールドログ」を生成する。「全フィールドログ」は、MAC検証部371がNGと判定したことを示す識別子であるログ種別識別子と、受信したメッセージ全体を含む。
また、図9の6、7、8行目の、MAC検証部371の判定結果がNGであり、と、振る舞い検知部372の判定結果と、兆候監視部373の判定結果が、図9の5行目以外の組み合わせに関しては、上記ログ及び識別子の組み合わせになる。
以上のように、受信したメッセージに対する複数の判定処理の結果の組み合わせに従って、出力される情報に重複が発生しないように、ログに含まれる情報が決定される。
なお、図9の7、8行目のログのうち、振る舞いログは、振る舞い検知部372がNGと判定したことを示す識別子であるログ種別識別子と、振る舞い検知部372がNGと判定した理由を示す識別子である振る舞いログ識別子と、振る舞い検知部372がNGと判定した値の過去に受信したメッセージの該当する値とを含む。振る舞いログは、振る舞い検知部372がNGと判定した値と、受信したメッセージのIDとを含む必要は無い。
振る舞いログと兆候ログは、ログ種別識別子と、振る舞いログ識別子及び兆候ログ識別子と、振る舞い検知部372及び兆候監視部373がNGと判定した値と、さらに、必要に応じて、受信したメッセージのIDとを含む。
ここで、振る舞いログ識別子及び兆候ログ識別子と、振る舞い検知部372及び兆候監視部373がNGと判定した値について説明する。図10は、本実施の形態におけるログに含まれるNGと判定した値の一例を示す図である。図10に示すように、振る舞い検知部372又は兆候監視部373の内部でNGと判定した判定機能に応じて、ログとして生成する値が変更される。例えば、ID判定機能がNGと判定した場合は、NGと判定した値はログに含まれない。ログ出力制御部376は、ログ種別識別子と、振る舞いログ識別子又は兆候ログ識別子と、受信したメッセージのIDとを含むログを生成する。
また、データ長判定機能がNGと判定した場合は、NGと判定した値として、受信したメッセージに含まれるDLCの値を設定する。
また、送信周期判定機能がNGと判定した場合は、NGと判定した値として、1つ前に受信した同じIDを持つメッセージの受信時刻からの時間差である受信時刻差を設定する。
また、送信頻度判定機能がNGと判定した場合は、NGと判定した値として、メッセージの受信頻度を設定する。この時、受信したメッセージに含まれるIDの値に関係なく、全受信メッセージを対象に送信頻度を判定した際にNGと判定した場合は、ログに受信したメッセージのIDを含まない。一方、IDごとに送信頻度を判定した際にNGと判定した場合は、ログに受信したメッセージのIDを含めてもよい。
また、データ値判定機能がNGと判定した場合は、NGと判定した値として、受信したメッセージに含まれるデータのうちNGと判定したデータの位置を示す識別子であるデータ識別子と、判定対象のデータ値である対象データ値を、ログとして設定する。
データ識別子としては、例えば0bit目から3bit目のデータをデータ識別子「1」、4bit目のデータをデータ識別子「2」、5bit目から6bit目のデータをデータ識別子「3」とするというような対応表をIDごとに作成してもよい。また、0bit目から3bit目のデータをデータ識別子「(0,3)」と表すことでIDによらずデータの位置を示してもよい。また、0bit目から3bit目のデータをサイズ(4bit)を用いて、データ識別子「(0,4)」と表してもよい。
データ識別子は、CANプロトコルのメッセージのフォーマットにおけるデータフィールド内のどの位置のデータであるかを示すことが出来ればよい。そのため、上記以外のデータ識別子を用いてもよい。
また、車両状態判定機能がNGと判定した場合は、NGと判定した値として、その時の車両状態を表す車両状態識別子と、その状態へ遷移した要因となった情報である要因情報とを設定する。受信したメッセージにより車両状態が変化し、車両状態判定機能がNGと判定した場合は、受信したメッセージのIDとをログに含む。一方で、受信したメッセージによらず車両状態が変化した場合は、受信したメッセージのIDをログに含まない。ここで、要因情報としては、ID、送信周期、送信頻度、データ値、又はデータ値の変化量など状態が遷移した要因がどの情報によるものなのかを示す識別子である要因識別子と、その値を含む。
ログ種別識別子は、MAC検証部371と、振る舞い検知部372と、兆候監視部373のどれがNGと判定したかを示す識別子である。振る舞い検知部372がNGと判定した理由を示す識別子である振る舞いログ識別子及び兆候監視部373がNGと判定した理由を示す識別子である兆候ログ識別子は、ID判定機能又はデータ長判定機能、送信周期判定機能、送信頻度判定機能、データ値判定機能及び車両状態判定機能の各機能でNGと判定したときの理由を示す。
例えば、本来送信されるべきではないIDのメッセージを受信したことを示したり、受信したメッセージの送信周期がルールに記載されている値より小さかったことを示したり、受信したメッセージのペイロードに含まれるデータの値がルールに記載されている値と異なることを示したり、データの値の前回受信時からの変化量がルールに記載されている値と異なることを示す。
また、ログ出力制御部376は、振る舞い検知部372と兆候監視部373に含まれるID判定機能、データ長判定機能、送信周期判定機能、送信頻度判定機能、データ値判定機能及び車両状態判定機能の各機能において、1つの受信したメッセージに対して、複数の機能がNGと判定した場合又は、ある機能において複数の理由によりNGと判定した場合には、複数のログを出力してもよい。また、事前に決められた優先度に応じて、優先度の一番高いメッセージのみをログとして出力してもよい。
また、ログ出力制御部376は、受信したメッセージに関連した情報をログ関連情報保持部377へ通知し、情報の保持を依頼する。メッセージに関連した情報としては、受信したメッセージ又は、受信したメッセージの受信時刻、ログ出力制御部376が出力するログ、ログを生成するために必要な情報等を含む。ログ出力制御部376は、ログを生成する際に、必要に応じて、ログ関連情報保持部377から受信したメッセージに関連した情報を取得する。
ログ関連情報保持部377は、ログ出力制御部376から保持の依頼を受けた、受信したメッセージに関連した情報を保持する。また、ログ関連情報保持部377は、ログ出力制御部376からの受信したメッセージに関連した情報の取得依頼に応じて、保持している情報をログ出力制御部376へ通知する。
なお、ログ出力制御部376は、生成するログに、受信したメッセージの受信時刻を含めてもよい。
[1.8 ECUの構成]
図11は、本実施の形態における車載ネットワークシステムに含まれるECUの一例を示すブロック図である。図11において、ECU100は、フレーム送受信部110と、フレーム解釈部120と、受信ID判定部130と、受信IDリスト保持部140と、フレーム処理部150と、データ取得部170と、フレーム生成部180とを備える。
なお、これらの構成は機能を示す構成であり、ECU100は、例えばプロセッサで実現される処理部、半導体メモリ等で実現される記憶部、入出力ポート等で実現される入出力部等を備える情報処理装置として提供される。
上記の機能を示す構成は、記憶部に保持されるプログラムを処理部により読み出し、実行し、記憶部へ所定のデータを記録することで実現される。若しくは記憶部へ所定のデータを記録することの代わりに、入出力部を介してデータの送受信を実行することで、これらの構成が実現されてもよい。又、これらの構成は、上記の組み合わせで実現されてもよい。
フレーム送受信部110は、バス200を介して、CANのプロトコルに従ったメッセージを送受信する。
より具体的には、フレーム送受信部110は、バス200に送出されたメッセージを1bitずつ読み出し、読み出したメッセージをフレーム解釈部120に転送する。
また、フレーム送受信部110は、フレーム生成部180より通知を受けたメッセージをバス200に送出する。
フレーム解釈部120は、フレーム送受信部110よりメッセージの値を受け取り、CANプロトコルにおける各フィールドにマッピングするようにしてメッセージの解釈を行う。フレーム解釈部120は、IDフィールドであると解釈した一連の値を、受信ID判定部130へ転送する。
フレーム解釈部120はさらに、受信ID判定部130から通知される判定結果に応じて、メッセージのIDフィールドの値、及び、IDフィールド以降に現れるデータフィールドを、フレーム処理部150へ転送するか、メッセージの受信を中止するかを決定する。
また、フレーム解釈部120は、受信したメッセージがCANプロトコルに則っていないメッセージであると判断した場合は、エラーフレームを送信するようにフレーム生成部180に要求する。
また、フレーム解釈部120は、他のノードが送信したエラーフレームを受信したと解釈した場合、読取中のメッセージを破棄する。
受信ID判定部130は、フレーム解釈部120からIDフィールドの値を受け取り、受信IDリスト保持部140が保持しているメッセージIDのリストに従い、読み出したメッセージを受信するか否かの判定を行う。受信ID判定部130は、この判定の結果をフレーム解釈部120へ通知する。
受信IDリスト保持部140は、ECU100が受信する受信IDリストを保持する。受信IDリストは、図4と同様の形式であるため、ここではその説明を省略する。
フレーム処理部150は、受信したメッセージのデータに応じた処理を行う。処理の内容は、ECU100ごとに異なる。
例えば、ECU100aでは、自動車の時速が30kmを超えているときに、ドアが開いていることを示すメッセージを受信すると、アラーム音を鳴らすための処理を実行する。ECU100cは、ブレーキがかかっていないことを示すメッセージを受信しているときにドアが開くと、アラーム音を鳴らすための処理を実行する。
これらの処理は、説明のために一例として挙げているだけであり、ECU100は上記以外の処理を実行してもよい。このような処理を実行するためにフレーム処理部150が送出するフレームを、フレーム処理部150はフレーム生成部180に生成させる。
データ取得部170は、ECU100に接続されている機器の状態、又は、センサによる計測値等を示す出力データを取得し、出力データをフレーム生成部180に転送する。
フレーム生成部180は、フレーム解釈部120からのエラーフレーム送信の要求に従い、エラーフレームを構成し、エラーフレームをフレーム送受信部110へ送る。
またフレーム生成部180は、データ取得部170から受け取ったデータの値に対して予め定められたメッセージIDを付けてメッセージフレームを構成し、メッセージフレームをフレーム送受信部110へ送る。
[1.9 サーバの構成]
図12は、本実施の形態における車載ネットワークシステムに含まれるサーバの一例を示すブロック図である。図12において、サーバ500は、受信部510と、ログ保持部520と、解析部530とから構成される。
受信部510は、ゲートウェイ300の外部通信部390を通して、ログ出力制御部376より、ログを受信する。また、受信部510は、ログ保持部520へ受信したログの保持を依頼する。
ログ保持部520は、受信部510からの依頼に応じて、ログを保持する。また、ログ保持部520は、解析部530からの依頼に応じて保持しているログを送信する。
解析部530は、ログ保持部520からログを取得し、そのログを解析することで、車両で異常が発生しているかどうかの解析を行う。
なお、ログ保持部520は、ログを保持する際に、車両ごとにログを別々に保持してもよいし、車両ごとのログを統合して保持してもよいし、車両ごとのログと車両ごとのログを統合したログの両方を保持していてもよい。車両ごとのログを統合する時には、全てのログを統合してもよいし、各車両の製造メーカ又は車種、型式、グレードごとに統合してもよいし、車両の大きさ又は車両の排気量等で決まる各車両の車両クラスごとに統合してもよい。また、車両ごとのログを統合する時には、車両ごとのログを各車両の所在地ごとに統合してもよいし、各車両が持つ機能(自動運転機能、運転支援機能、通信機能等)ごとに統合してもよい。なお、車両ごとのログを統合する方法は、上に挙げた方法の組み合わせでもよい。
なお、サーバ500は、受信したログ又は、解析部530の解析結果を表示するための表示部(図示せず)を備えてもよい。
[1.10 異常検知処理]
図13は、本実施の形態における異常検知処理の一例を示すフローチャートである。
まず、異常検知処理機能群370は、フレーム処理部350からメッセージを受信する(ステップS1001)。
異常検知処理機能群370のMAC検証部371と、振る舞い検知部372と、兆候監視部373は、フレーム処理部350から受け取ったメッセージに対して、それぞれ判定を行う(S1002)。
ログ出力制御部376は、MAC検証部371と、振る舞い検知部372と、兆候監視部373で判定した結果に、NGの判定が含まれるか否かを確認する(S1003)。
全ての判定結果がOKだった場合(ステップS1003でNoの場合)には、処理を終了する。
MAC検証部371と、振る舞い検知部372と、兆候監視部373で判定した結果に、NGが含まれる場合(ステップS1003でYesの場合)、ログ出力制御部376はログを生成する(ステップS1004)。
ログ出力制御部376は、生成したログを、外部通信部390を介して、サーバへ送信する(S1005)。ここで、ログ出力制御部376は、処理を終了する。
[1.11 転送処理]
図14は、本実施の形態における転送処理の一例を示すフローチャートである。ゲートウェイ300が行う転送処理は、転送の方向によらず実質的に共通であるため、ゲートウェイ300がバス200aから受信したメッセージをバス200bへ転送する場合を例に説明する。
まず、フレーム送受信部310は、バス200aからメッセージを読み出す(ステップS1101)。その後、フレーム送受信部310は、読み出したメッセージの各フィールドのデータをフレーム解釈部320へ通知する。
次に、フレーム解釈部320は、受信ID判定部330と連携して、読み出したメッセージのIDフィールドの値(メッセージID)から、受信して処理する対象のメッセージであるか否かを判定する(ステップS1102)。
フレーム解釈部320が処理する対象のメッセージではないと判定した場合(ステップS1102でNo)、当該メッセージの転送は行われない。
フレーム解釈部320は、受信したメッセージが、受信して処理する対象のメッセージであると判断した場合には(ステップS1102でYesの場合)、フレーム処理部350へメッセージ内の各フィールドの値を転送する。
その後、フレーム処理部350は、転送ルール保持部360に保持される転送ルールに従って、転送先のバスを決定する(ステップS1103)。
フレーム処理部350は、フレーム解釈部320から受け取ったメッセージ内の各フィールドの値を異常検知処理機能群370へ通知し、異常なメッセージであるか否かの判定を要求する。異常検知処理機能群370は、通知されたメッセージの各フィールドの値から、通知されたメッセージが異常なメッセージであるか否かを判定し、その判定の結果をフレーム処理部350へ通知する(ステップS1104)。
異常検知処理機能群370が、メッセージは異常なメッセージであると判定した場合(ステップS1105でYesの場合)、そのメッセージの転送は行われない。
異常検知処理機能群370が、メッセージは異常なメッセージではなく正常なメッセージであると判定した場合(ステップS1105でNoの場合)、フレーム処理部350は、そのメッセージをステップS1103で決定した転送先のバスに、転送するようフレーム生成部380へ要求する。
フレーム生成部380は、フレーム処理部350からの要求を受けて、指定された転送先が受信するようメッセージを生成し、このメッセージをフレーム送受信部310に送出させる(ステップS1106)。
なお、上記の例では、受信したメッセージの転送先の決定(ステップS1103)の後にこのメッセージが異常なメッセージであるかの判定(ステップS1104)がなされているが、これに限定されない。受信したメッセージが異常なメッセージであるかの判定の後にこのメッセージの転送先の決定がなされてもよい。また、受信したメッセージの転送先の決定と異常なメッセージであるかの判定が並行して行われてもよい。
[1.12 効果]
本実施の形態では、異常検知処理機能群370は、車載ネットワークシステムのネットワークを流れるメッセージを監視する。異常検知処理機能群370が異常を検知した場合、ログ出力処理機能群375によりログを生成し、サーバ500へ出力する。サーバ500は、ログを蓄積し、このログを解析することで、異常検知処理機能群370で検知できなかった異常を検知することができる。これにより従来の不正検知の技術で用いられていたような、例えば所定の周期より短い時間間隔でメッセージを受信したときに、不正が発生したと判断する技術では、正常なメッセージであるか異常なメッセージであるかの判定が困難であったメッセージに関しても、多くのログからより高い精度でメッセージが異常であるか否かを判定することが可能になる。その結果、車載ネットワークシステムの安全性が高められる。
[2.その他の変形例]
本開示は、上記で説明した各実施の形態に限定されないのはもちろんであり、本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を実施の形態に施したもの、及び異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。例えば以下のような変形例も本開示に含まれる。
(1)上記の実施の形態では、異常検知処理機能群370は、MAC検証部371と、振る舞い検知部372と、兆候監視部373とを備えるとしたが、これに限定するものではない。例えば、異常検知処理機能群370は、MAC検証部371と、振る舞い検知部372とを備えてもよいし、MAC検証部371と、兆候監視部373とを備えてもよいし、振る舞い検知部372と、兆候監視部373とを備えてもよい。また、異常検知処理機能群370は、MAC検証部371だけを備えてもよいし、振る舞い検知部372だけを備えてもよいし、兆候監視部373だけを備えてもよい。
上記のそれぞれの場合において、ログ出力制御部376における判定例としては、例えば、図9において、MAC検証部371と、振る舞い検知部372と、兆候監視部373とのうち、存在しない部の結果をOKとした場合のログを出力してもよい。
つまり、異常検知処理機能群370が、MAC検証部371と、振る舞い検知部372とを備える場合、図9の「兆候監視」の列がOKの行で、「MAC検証」と「振る舞い検知」の列が、それぞれの判定結果にあった行のログを出力する。
(2)上記の実施の形態では、ゲートウェイ300は、フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375と、フレーム生成部380と、外部通信部390とを備えると説明したが、これに限定されない。
図15は、変形例におけるゲートウェイの一例を示すブロック図である。図15に示すように、ゲートウェイ300aは、フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375aと、フレーム生成部380とを備える。
図16は、変形例におけるログ出力処理機能群の一例を示すブロック図である。図16において、ログ出力処理機能群375aは、ログ出力制御部376aと、ログ関連情報保持部377と、ログ保持部378とを備える。
実施の形態1のログ出力制御部376が、外部通信部390を介して、サーバ500へログを出力するのに対して、ログ出力制御部376aは、ログ保持部378へログを出力する。
ログ保持部378は、ログ出力制御部376aからログを受信し、保持する。
また、ログ保持部378は、ゲートウェイ300aの外部に接続された機器(図示せず)より、ログ取得の依頼があった際に、保持しているログを出力する。
なお、上記の実施の形態におけるゲートウェイ300が、ログ出力処理機能群375の代わりにログ出力処理機能群375aを備え、ゲートウェイ300a外部の機器からの要求に応じて、外部通信部390を介して、ログ保持部378が保持しているログを出力してもよい。
また、ログ出力処理機能群375aは、バス200に接続された別の機器から、バス200を介して、ログの取得依頼を受信し、バス200を介してログを出力してもよい。図17は、変形例におけるゲートウェイ300bの一例を示すブロック図である。図17に示すように、ログ出力処理機能群375bは、フレーム処理部350を介してログをバス200へ出力する。
これにより、ゲートウェイ300b内部にログを保持できる。そのため、サーバ500と常時接続できる機能が無い場合においても、ログを収集・保持し、必要に応じてゲートウェイ300b外部の機器へログを出力できるため、ログ出力タイミングを柔軟に選択すること又は、通信コストを抑えることが出来る。
(3)上記実施の形態では、ECU100は、フレーム送受信部110と、フレーム解釈部120と、受信ID判定部130と、受信IDリスト保持部140と、フレーム処理部150と、データ取得部170と、フレーム生成部180とを備えると説明したが、本開示における車載ネットワークシステムが備えるECU100の構成はこれに限定されるものではない。
図18は、変形例におけるECUの一例を示すブロック図である。図18においてECU100eは、ECU100に対して、さらに異常検知処理機能群370と、ログ出力処理機能群375aとを備える。ECU100eにおいて、異常なメッセージであるか否かの判定を、フレーム処理部150が異常検知処理機能群370へ要求してもよいし、フレーム解釈部120が異常検知処理機能群370へ要求してもよい。
図19は、変形例におけるECUの一例を示すブロック図である。図19において、ECU100fは、フレーム送受信部110と、フレーム解釈部120と、フレーム生成部180と、異常検知処理機能群370と、ログ出力処理機能群375aとで構成される。フレーム解釈部120は、例えばIDによらず全てのメッセージを受信し、全てのメッセージについて異常検知処理機能群370へ異常なメッセージであるかどうかの判定を依頼してもよい。
また、ECU100fは、図19の構成に加えて、受信ID判定部130と、受信IDリスト保持部140とを備え、受信IDリスト保持部が保持する受信IDリストに記載されたメッセージIDを持つメッセージのみを受信してもよい。また、そのメッセージに関して、異常検知処理機能群370へ異常なメッセージであるか否かの判定を依頼してもよい。
なお、ログ出力処理機能群375aは、上述のログ出力処理機能群375に代えられてもよい。また、ECU100e又はECU100fは、ログ出力処理機能群375aとして、更に、外部通信部390を備えてもよい。
これにより、ゲートウェイだけでなく、ECUでも、バスに送信されているメッセージが異常なメッセージであるか否かを解析するためのログを出力できる。その結果、例えば車載ネットワークシステムにおける異常検知のための仕組の冗長性が向上し、より安全性が確保される。
図20は、変形例におけるECUの一例を示すブロック図である。図20に示すECU100gは、バス200へ送信するデータを他の接続機器又は外部の機器等から取得する送信データ取得部171と、異常検知処理機能群370gと、ログ出力処理機能群375aとを備えてもよい。ECU100gが備える異常検知処理機能群370gは、送信データ取得部171から受信したデータが異常なメッセージであるか否かについても判定してもよい。また、異常なメッセージではないと判定した場合のみ、フレーム生成部180へメッセージの送信を依頼してもよい。
なお、ログ出力処理機能群375aの構成は、ログ出力処理機能群375に代えられ、EUC100gに、更に、外部通信部390を備えてもよい。
これにより、例えば、何者かに不正に制御されたカーナビゲーションから異常なメッセージが車載ネットワークシステム等に向けて送信されるような場合において、カーナビゲーションと一緒に利用されるECU100gがサーバ500でログを解析することによって、異常なメッセージの車載ネットワークシステム内での拡散を抑制することができる。また、車載ネットワークシステム内部への異常なメッセージの車両外からの送信を抑制することができる。
(4)上記の実施の形態では、ゲートウェイ300は、フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375と、フレーム生成部380と、外部通信部390とを備えるとしたが、これに限定されない。
図21は、変形例におけるゲートウェイの一例を示すブロック図である。図21に示すように、ゲートウェイ300cは、フレーム送受信部310と、フレーム解釈部320と、受信ID判定部330と、受信IDリスト保持部340と、フレーム処理部350と、転送ルール保持部360と、異常検知処理機能群370と、ログ出力処理機能群375と、フレーム生成部380とを備える。
ログ出力処理機能群375は、外部通信部390を介してサーバ500へログを出力するのではなく、バス200を介してECU100hへログを出力するため、フレーム処理部350へログ情報の送信を依頼する。
図22は、変形例におけるECUの一例を示すブロック図である。図22において、ECU100hは、ECU100の構成に加え、ログ保持部190を備え、フレーム処理部150の代わりにフレーム処理部150hを備える。
フレーム処理部150hは、受信したメッセージがログであった場合に、ログ保持部190へ通知し、ログの保持を依頼する。また、フレーム処理部150hは、受信したメッセージがログであるかどうかを、受信したメッセージのIDを用いて判定する。受信したメッセージのIDが、事前に決められたログを示すIDの場合、フレーム処理部150hは、受信したメッセージがログであると判定し、ログ保持部190へ受信したメッセージがログであった旨を通知する。
なお、ECU100e又はECU100f、ECU100gに、ログ出力処理機能群375を備え、ログ出力処理機能群375がフレーム処理部150へログの送信を依頼してもよい。
(5)上記実施の形態では、ゲートウェイ300c又はECU100hがサーバ500へログを出力する場合と、ゲートウェイ300c又はECU100hがログをゲートウェイ300c又はECU100hの内部に保持しつつ、要求に応じてログを出力する場合と、ゲートウェイ300c又はECU100hが他のECU100hへログを出力する場合だけに限定されない。
例えば、ゲートウェイ300c又はECU100hがログをゲートウェイ300c又はECU100h内部に保持しつつ、サーバ500へログを出力してもよい。また、ゲートウェイ300c又はECU100hがログをゲートウェイ300c又はECU100h内部に保持しつつ、他のECU100hへログを出力してもよい。また、ゲートウェイ300c又はECU100hがサーバ500へログを出力しつつ、他のECU100hへログを出力してもよい。また、ゲートウェイ300c又はECU100hがログをゲートウェイ300c又はECU100h内部に保持しつつ、サーバ500と他のECU100hへログを出力してもよい。
それぞれの場合において、同じログを出力してもよいし、出力先ごとにログを変えてもよい。例えば、ゲートウェイ300c又はECU100h内部にログを保持出来る量が少なく、他のECU100h又はサーバ500に大量にログを保持できる場合は、ゲートウェイ300c又はECU100h内部には識別子に関する情報のみを保持しておき、他のECU100h又はサーバ500にNGと判定した値又は、CANメッセージの全フィールドのログを保持してもよい。また、ゲートウェイ300c又はECU100h内部には、ログを特定できる情報を保持しておき、ログを、ログを特定できる情報と一緒に他のECU100h又はサーバ500へ保持してもよい。また、全ての受信したメッセージを、異常検知処理機能群370の検知結果に関係なく、他のECU100hへログとして出力してもよい。
また、ログ出力制御部376は、MAC検証部371、振る舞い検知部372、兆候監視部373のそれぞれの判定結果から、ログを出力する対象を決定してもよい。
例えば、MAC検証部371がNGと判定した場合には、サーバ500へ、MAC検証部371がNGと判定した旨を通知し、他のECU100hへ「全フィールドログ」を出力してもよい。また、振る舞い検知部372がNGと判定した場合には、「振る舞いログ」を他のEUC100へ出力してもよいし、「振る舞いログ」に含まれるログ種別識別子、振る舞いログ識別子をゲートウェイ300c又はECU100h内部に保持しつつ、「振る舞いログ」を他のEUC100hへ出力してもよい。加えて、「振る舞いログ」に含まれるログ種別識別子、振る舞いログ識別子をゲートウェイ300c又はECU100h内部に保持しつつ、「振る舞いログ」をサーバ500へ出力し、「振る舞いログ」に受信したメッセージの全フィールドを加えたログを他のECU100hへ出力してもよい。
また、兆候監視部373がNGと判定した場合には、「兆候ログ」を他のECU100hへ出力してもよいし、「兆候ログ」に含まれるログ種別識別子、兆候ログ識別子をゲートウェイ300c又はECU100h内部に保持しつつ、「兆候ログ」を他のECU100hへ出力してもよい。加えて、「兆候ログ」に含まれるログ種別識別子、兆候ログ識別子をゲートウェイ300c又はECU100h内部に保持しつつ、「兆候ログ」をサーバ500へ出力し、「兆候ログ」に受信したメッセージの全フィールドを加えたログを他のECU100hへ出力してもよい。
なお、個別にログ出力のパターンは、上記のパターンに限定するものではなく、上記のパターンの組み合わせでもよい。
(6)上記実施の形態では、異常の検知に応じたアクションとして、受信したメッセージを転送しない例を示したが、これに限定されない。例えば、上述の異常検知処理機能群370を備えるゲートウェイ300c又はECU100hは、メッセージの受信中に異常検知処理を行い、異常なメッセージであると判定した時点で、エラーフレームを送信することで、ネットワークから受信中のメッセージを無効化してもよい。
これにより、異常なメッセージが見つかったバスに接続された他のECU100hが異常なメッセージを受信することを防止することができる。これは、転送しないメッセージに対しても適用できる。
また、上述の異常検知処理機能群370を備えるゲートウェイ300c又はECU100hは、さらに、異常の発生に関するユーザ若しくは外部のサーバ等への通知、異常の発生のログへの記録、又は車両のフェールセーフモードへの移行を実行してもよい。
これにより、異常検知後の柔軟な対応が可能となる。また異常なメッセージと判定した複数のメッセージをデータの1以上の系列として扱い、各系列について、データの値又は受信間隔の集合を異常なラベルとして学習してもよい。
(7)上記実施の形態では、標準フォーマットのIDにおける例を示したが、拡張フォーマットのIDであってもよい。
(8)上記実施の形態では、メッセージは平文で送信される例を示したが、暗号化されていてもよい。またメッセージにメッセージ認証コードを含んでいてもよい。
(9)上記実施の形態では、正常モデルと、受信ログとを平文で保持している例を示したが、正常モデルと受信ログとを暗号化して保持していてもよい。
(10)上記の実施の形態では、CANプロトコルに従って通信するネットワーク通信システムの例として車載ネットワークを示した。本開示に係る技術は、車載ネットワークでの利用に限定されるものではなく、ロボット、産業機器等のネットワークその他、車載ネットワーク以外のCANプロトコルに従って通信するネットワーク通信システム等に利用してもよい。
また、車載ネットワークとしてCANプロトコルを用いていたが、これに限るものではない。例えば、CAN−FD(CAN with Flexible Data Rate)、FlexRay、Ethernet、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。
(11)上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
(12)上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又はすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC(Integrated Circuit)、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)又は、LSI内部の回路セルの接続又は設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の集積回路化技術への適用等の可能性がある。
(13)上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されていてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含んでもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたは前記モジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有してもよい。
(14)本開示は、上記に示す方法であってもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであってもよいし、コンピュータプログラムからなるデジタル信号であってもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリなどに記録したものでもよい。また、これらの記録媒体に記録されているデジタル信号であってもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、又は、データ放送等を経由して伝送してもよい。
また、本開示は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作してもよい。
また、プログラムまたはデジタル信号を記録媒体に記録して移送すること、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにおいて実施してもよい。
(15)上記実施の形態及び上記変形例をそれぞれ組み合わせてもよい。
これらの各実施の形態及びその変形例では、車載ネットワークシステムに接続されて通信するゲートウェイ若しくはECU、又はこれらとサーバコンピュータとの組み合わせによって不正通信検知の基準として用いられるメッセージが決定される。
このような不正通信検知を実行する、1個以上のプロセッサ及び記憶部を含むシステムを、本開示では不正通信検知基準決定システムと呼ぶ。
したがって、不正通信検知基準決定システムは車載ネットワークシステムに接続される1台のゲートウェイのように1個の装置によって実現されるものも、このようなゲートウェイとECUとの組み合わせ、又はゲートウェイ若しくはECUと遠隔にあるサーバコンピュータとの組み合わせのように複数個の装置によって実現されるものも含む。
また、この技術は、上記各実施の形態又はその変形例において、各構成要素が実行する処理のステップの一部又は全部を含む方法として、又は不正通信検知基準決定システムのプロセッサに実行されて、不正通信検知基準決定システムがこの方法を実施させるためのプログラムとしても実現可能である。
また、上記実施の形態又はその変形例において、特定の構成要素が実行する処理を特定の構成要素の代わりに別の構成要素が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。
本開示にかかるログ出力方法等は、メッセージ送信時に調停が発生したか否かを判定することで不正を検知するための基準時刻を決定する。これにより従来では、正常なメッセージであるか異常なメッセージであるかの識別が困難であったメッセージに関しても、精度よく、正常なメッセージであると識別することができ、車載ネットワークの保護が可能となる。
10 車載ネットワークシステム
100、100a、100b、100c、100d、100e、100f、100h ECU
101 エンジン
102 ブレーキ
103 ドア開閉センサ
104 ウィンドウ開閉センサ
110 フレーム送受信部
120 フレーム解釈部
130 受信ID判定部
140 受信IDリスト保持部
150、150h フレーム処理部
170 データ取得部
171 送信データ取得部
180、380 フレーム生成部
190、378 ログ保持部
200、200a、200b バス
300、300a、300b、300c ゲートウェイ
310 フレーム送受信部
320 フレーム解釈部
330 受信ID判定部
340 受信IDリスト保持部
350 フレーム処理部
360 転送ルール保持部
370 異常検知処理機能群
371 MAC検証部
372 振る舞い検知部
373 兆候監視部
375、375a、375b ログ出力処理機能群
376、376a ログ出力制御部
377 ログ関連情報保持部
390 外部通信部
400 外部ネットワーク
500 サーバ
510 受信部
520 ログ保持部
530 解析部

Claims (7)

  1. 車載ネットワークにおける通信のログを出力するログ出力方法であって、
    前記車載ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップと、
    前記複数の判定処理の結果に従って、前記ログを生成するログ生成ステップと、
    生成した前記ログを送信するログ送信ステップとを含み、
    前記ログ生成ステップでは、前記複数の判定処理の結果の組み合わせに従って、前記ログに含まれる情報に重複が発生しないように、前記ログに含まれる情報を決定する、
    ログ出力方法。
  2. 前記複数の判定処理は、前記異なる方法の一つとして、前記メッセージのMAC(Message Authentication Code)を検証することにより前記異常性を判定するMAC検証処理を含む、
    請求項1に記載のログ出力方法。
  3. 前記複数の判定処理は、前記異なる方法の一つとして、前記メッセージから車両の振る舞いを検知することにより前記異常性を判定する振る舞い検知処理を含む、
    請求項1又は2に記載のログ出力方法。
  4. 前記複数の判定処理は、前記異なる方法の一つとして、前記メッセージに異常を示す兆候が現れているか否かを監視することにより前記異常性を判定する兆候監視処理を含む、
    請求項1〜3のいずれか1項に記載のログ出力方法。
  5. 前記複数の判定処理は、前記メッセージから車両の振る舞いを検知することにより前記異常性を判定する振る舞い検知処理と、前記メッセージに異常を示す兆候が現れているか否かを監視することにより前記異常性を判定する兆候監視処理とを含み、
    前記ログ生成ステップでは、
    前記振る舞い検知処理と前記兆候監視処理の両方において前記メッセージに異常性があると判定されたとき、
    (A)前記振る舞い検知処理と前記兆候監視処理において、メッセージに異常性があると判定された理由が異なる場合、前記振る舞い検知処理で異常性があると判定された値と、前記兆候監視処理で異常性があると判定された値とを、前記ログとして出力し、
    (B)前記振る舞い検知処理と前記兆候監視処理において、前記メッセージに異常性があると判定された理由が同じ場合、前記振る舞い検知処理で異常性があると判定された値と、前記兆候監視処理で異常性があると判定された値とのいずれか一方を、前記ログとして出力する、
    請求項1又は2に記載のログ出力方法。
  6. 車載ネットワークシステムにおける通信のログを出力するログ出力装置であって、
    1個以上のプロセッサと、
    記憶部とを含み、
    前記記憶部を用いて、前記1個以上のプロセッサは、
    前記車載ネットワークに送出されたメッセージの異常性を互いに異なる方法でそれぞれ判定する複数の判定処理を行う異常判定ステップと、
    前記複数の判定処理の結果に従って、前記ログを生成するログ生成ステップと、
    生成した前記ログを送信するログ送信ステップとを行い、
    前記ログ生成ステップでは、前記複数の判定処理の結果の組み合わせに従って、前記ログに含まれる情報に重複が発生しないように、前記ログに含まれる情報を決定する、
    ログ出力装置。
  7. コンピュータに請求項1に記載のログ出力方法を実行させるためのプログラム。
JP2019556389A 2018-04-06 2018-12-04 ログ出力方法、ログ出力装置及びプログラム Active JP7182559B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018073654 2018-04-06
JP2018073654 2018-04-06
PCT/JP2018/044550 WO2019193786A1 (ja) 2018-04-06 2018-12-04 ログ出力方法、ログ出力装置及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2019193786A1 true JPWO2019193786A1 (ja) 2021-03-11
JP7182559B2 JP7182559B2 (ja) 2022-12-02

Family

ID=68100614

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019556389A Active JP7182559B2 (ja) 2018-04-06 2018-12-04 ログ出力方法、ログ出力装置及びプログラム

Country Status (5)

Country Link
US (1) US11838303B2 (ja)
EP (1) EP3771981A4 (ja)
JP (1) JP7182559B2 (ja)
CN (1) CN111066001A (ja)
WO (1) WO2019193786A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7269922B2 (ja) * 2018-05-23 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、モビリティネットワークシステム、通信制御方法およびプログラム
JP7255710B2 (ja) * 2019-12-25 2023-04-11 株式会社デンソー 攻撃監視用センター装置、及び攻撃監視用端末装置
WO2021144860A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両ログ保存装置、車両ログ送信装置、車両ログ収集システムおよび車両ログ保存方法
JP7392598B2 (ja) * 2020-07-14 2023-12-06 株式会社デンソー ログ管理装置及びセキュリティ攻撃検知・分析システム
JP7439669B2 (ja) * 2020-07-14 2024-02-28 株式会社デンソー ログ分析装置
JP7373803B2 (ja) * 2020-09-29 2023-11-06 パナソニックIpマネジメント株式会社 情報送信装置、サーバ、及び、情報送信方法
DE112021005689T5 (de) 2020-10-27 2023-08-17 Panasonic Intellectual Property Management Co., Ltd. Verwaltungsvorrichtung, Verwaltungsverfahren und Programm

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009038028A1 (ja) * 2007-09-18 2009-03-26 Toyota Jidosha Kabushiki Kaisha 異常検出装置、異常検出システム、サーバ、異常検出方法
JP2009168956A (ja) * 2008-01-14 2009-07-30 Denso Corp 地図配信サーバおよび地図配信システム
JP2014182715A (ja) * 2013-03-21 2014-09-29 Clarion Co Ltd 車載機器システム、携帯端末及び車載機
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7774361B1 (en) * 2005-07-08 2010-08-10 Symantec Corporation Effective aggregation and presentation of database intrusion incidents
US10665040B2 (en) * 2010-08-27 2020-05-26 Zonar Systems, Inc. Method and apparatus for remote vehicle diagnosis
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
AU2015323957B2 (en) * 2014-09-30 2020-11-19 Joshua KRAGE Detecting unauthorized device access by comparing multiple independent spatial-time data sets
US9661010B2 (en) * 2014-11-21 2017-05-23 Honeywell International Inc. Security log mining devices, methods, and systems
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
US10116674B2 (en) * 2015-10-30 2018-10-30 Citrix Systems, Inc. Framework for explaining anomalies in accessing web applications
US10389741B2 (en) * 2016-03-24 2019-08-20 Cisco Technology, Inc. Edge-based detection of new and unexpected flows
US20170289185A1 (en) * 2016-03-31 2017-10-05 Qualcomm Incorporated Device assisted traffic anomaly detection
US10412111B2 (en) * 2016-12-30 2019-09-10 eSentire, Inc. System and method for determining network security threats
US10671723B2 (en) * 2017-08-01 2020-06-02 Sap Se Intrusion detection system enrichment based on system lifecycle

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009038028A1 (ja) * 2007-09-18 2009-03-26 Toyota Jidosha Kabushiki Kaisha 異常検出装置、異常検出システム、サーバ、異常検出方法
JP2009168956A (ja) * 2008-01-14 2009-07-30 Denso Corp 地図配信サーバおよび地図配信システム
JP2014182715A (ja) * 2013-03-21 2014-09-29 Clarion Co Ltd 車載機器システム、携帯端末及び車載機
JP2017111796A (ja) * 2015-12-16 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ

Also Published As

Publication number Publication date
EP3771981A1 (en) 2021-02-03
US11838303B2 (en) 2023-12-05
US20200336504A1 (en) 2020-10-22
CN111066001A (zh) 2020-04-24
WO2019193786A1 (ja) 2019-10-10
JP7182559B2 (ja) 2022-12-02
EP3771981A4 (en) 2021-04-14

Similar Documents

Publication Publication Date Title
JP7182559B2 (ja) ログ出力方法、ログ出力装置及びプログラム
JP7008100B2 (ja) 不正対処方法、不正検知電子制御ユニットおよびネットワーク通信システム
JP7105279B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP7030046B2 (ja) 不正通信検知方法、不正通信検知システム及びプログラム
JP6684690B2 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
US10798114B2 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
JP7280082B2 (ja) 不正検知方法、不正検知装置及びプログラム
JP6525824B2 (ja) 中継装置
JP2017112590A (ja) 通信装置、通信方法、及び通信プログラム
JP2014236248A (ja) 電子制御装置、電子制御システム
WO2021131824A1 (ja) 決定方法、決定システム及びプログラム
JP2019146145A (ja) 通信装置、通信方法及びプログラム
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP7512473B2 (ja) 不正検知方法、不正検知装置及びプログラム
JP6611891B1 (ja) 検査システム
JP6149716B2 (ja) 車載ネットワークシステム
WO2017104122A1 (ja) 通信装置、通信方法、及び通信プログラム

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A5211

Effective date: 20191016

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210709

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221121

R150 Certificate of patent or registration of utility model

Ref document number: 7182559

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150